Oleh:
Muhyiddin, S.Ak., M.Ak.
Universitas Esa Unggul
muhyiddin@esaunggul.ac.id
Pendahuluan
1
meningkatkan metode dan proses pengambilan keputusan yang sistimatis,
yang didasarkan pada ketersediaan informasi, digunakan sebagai dasar
pengukuran yang lebih akurat mengenai kinerja bank, digunakan untuk
menilai risiko yang melekat pada instrumen atau kegiatan usaha bank yang
relatif komplek serta menciptakan infrastruktur manajemen risiko yang
kokoh dalam rangka meningkatkan daya saing bank. Bagi otoritas
pengawasan bank, penerapan manajemen risiko akan mempermudah
penilaian terhadap kemungkinan kerugian yang dihadapi bank yang dapat
mempengaruhi permodalan bank dan sebagai salah satu dasar penilaian
dalam menetapkan strategi dan fokus pengawasan bank.
2
premi penjaminan simpanan, cost of fund menjadi tinggi, profit turun dan
seterusnya berakibat buruk bagi bank. Kondisi eksternal juga sering
menjadi penyebab risiko, misalnya pasar, inflasi dan politik yang bergejolak
fluktuatif akan mengakibatkan risiko perbankan menjadi semakin besar.
Dengan memperhatikan hal-hal tersebut dan belajar dari krisis perbankan
di Indonesia pada tahun 1997, maka memasuki tahun 2003 (yang ditandai
dengan kewajiban penerapan manajemen risiko perbankan), manajemen
risiko menjadi perhatian sangat serius di Indonesia, walaupun sebelumnya
hal ini telah mewabah ke seluruh dunia.
3
Penyusunan rencana kegiatan audit dapat efektif apabila
mempertimbangkan faktor risiko (salah satunya), yang tujuannya adalah
untuk mengindentifikasikan bagian yang material atau signifikan dari
kegiatan yang akan diaudit, sehingga dapat diatur skala prioritas
pelaksanaan audit dengan mengetahui unit mana yang memerlukan segera
dan unit mana yang bisa ditempatkan pada urutan terakhir, sehingga
pelaksanaan kegiatan audit dapat memudahkan dalam membagi pekerjaan
sesuai dengan tenaga auditor yang tersedia, dan menciptakan efisiensi
biaya audit.
4
terhadap suatau bahaya yang teridentifikasi untuk memberikan gambaran
seberapa besar risiko tersebut. Sehingga dapat diambil tindakan lanjutan
terhadap bahaya yang teridentifikasi, apakah bahaya itu dapat diterima atau
tidak.
1. Risiko Keselamatan
2. Risiko Kesehatan
3. Risiko Lingkungan
4. Risiko Kesejahteraan
5. Risiko Keuangan
a. Apa yang akan terjadi dan bagaimana bisa terjadi (Dapat dijawab ketika
memasuki tahap identifikasi)?
5
Secara khusus untuk memulai Penilaian risiko terdapat hal-hal yang
harus dipahami dan jelas yaitu:
b. Risiko-risko apa saja yang bisa ditoleransi, dan bagaimana resiko yang
tidak diterima akan diperlakukan
2. Menentukan konteks
3. Penilaian risiko
4. Pengendalian risiko
6
Penggunaan Penilaian Risiko
1. Bidang Kesehatan
2. Bidang Audit
7
Dalam tahapan penilaian risiko, dilakukan proses
membandingkan tingkat risiko dengan kriteria risiko pada basis yang
sama. Hasil penilaian risiko adalah berupa daftar prioritas risiko dimana
area yang dinilai berisiko tinggi ditindaklanjuti dan yang berisiko rendah
dipantau.
8
Metode Penilaian Risiko
9
risiko yang seringkali menggunakan spreadsheets untuk merekam dan
memanipulasi data.
10
Tujuan penggunaan penilaian Risiko dalam Penentuan Objek Audit
1. Menemukan risiko apa saja yang ada. Dalam perusahaan yang telah
memiliki satuan kerja manajemen risiko, maka audit intern dapat
menggunakan profil risiko yang telah dibuat oleh satuan kerja dimaksud.
Tetapi ada kalanya audit intern melakukan sendiri pendataan dan
penaksiran risiko dimaksud, apalagi dalam perusahaan yang belum
memiliki satuan kerja khusus manajemen risiko.
11
Hal-hal yang dilakukan dalam tahap ini yaitu:
a. Melakukan review pendahuluan, mulai dari corporate plan, rencana
kerja dan anggaran perusahaan (RKAP), rencana kerja dan
anggaran cabang (RKAC), laporan keuangan, ketentuan hukum dan
regulasi yang berlaku, sistem informasi manajemen, kertas kerja
audit yang lalu, dan lainnya.
b. Menetapkan Audit Unviverse
c. Melakukan risk assessment termasuk melakukan wawancara
dengan manajemen dari satuan kerja operasional.
d. Membahas hasil risk assessment dengan manajemen terkait untuk
mendapatkan validasi.
e. Menyusun rencana audit.
Tahap kedua ini memiliki tiga bagian yang ada kaitannya dengan tahap
terdahulu yaitu:
a. Memecah-mecah sebuah satuan kerja menjadi satuan-satuan yang
lebih kecil untuk dapat dikelola. Satuan ini disebut juga sebagai
satuan layak audit (auditable unit),
b. Menentukan auditable unit mana yang perlu diaudit, yang dapat
mewakili dalam hal mendapatkan keyakinan bahwa risiko-risiko
utama telah dimitigasi secara memadai. Penentuan ini yang akan
menghasilkan rencana audit,
c. Melaksanakan tugas audit sesuai rencana yang telah disusun dan
harus terlebih dahulu mendapat persetujuan dari dewan komisaris
dan direksi.
12
pemahaman mengenai sistem pengendalian intern dari auditee yang
sebenarnya, yang mungkin saja berbeda dari yang lain.
4. Apabila pada konsep lama seorang atau beberapa auditor mendapat
tugas audit untuk satu subyek pada satu saat tertentu, maka dengan
konsep baru ini seorang atau lebih auditor akan mendapat beberapa
tugas audit untuk satu saat tertentu.
5. Adanya inherent risk dan keterbatasan metode atau sistem penetapan
prioritas audit, mengharuskan internal audit untuk secara berkala
mengkaji semua faktor risiko serta proses scoring yang ada dalam
rangka menyempurnakan rencana audit.
1. Tujuan audit, tujuan ini harus mampu dipenuhi dalam jangka waktu dan
anggaran yang telah ditentukan dan juga harus dapat diukur. Harus ada
kriteria pengukuran dan batas waktu pemenuhan tujuan audit.
13
validasi risiko harus mengarah kepada materialitas serta tingkat
kemungkinan terjadinya risiko.
Contoh 1
14
Contoh 2
Contoh 3
15
Contoh 4
16
Appendix B
Impact
Score What's the worst that could happen?
1 Insignificant disruption with no loss of service to citizens
No harm to life or limb
No reputation damage
No or insignificant environmental damage
Low financial loss
2 Some disruption to non-critical citizen service
LCC liable for disruption to key partner but no loss of service
Minor injury to third parties (requiring first aid treatment)
Minimal reputation damage (minimal adverse coverage in
local press)
LCC responsible for minor damage to local environment
Medium financial loss
3 Noticeable disruption to critical service not exceeding 48
hours
LCC responsible for disruption to key partner resulting in loss
of their service not exceeding 48 hours
Violence or threat of serious injury (medical treatment
required)
Adverse coverage in national tabloid press and/or extensive
front page coverage in local press or TV
LCC liable for moderate damage to local environment
High financial loss
4 Serious disruption LCC's ability to provide a critical service
to citizens (loss of service between 2 and 7 days)
LCC responsible for major disruption to key partner resulting
in a loss of their service lasting between 2 and 7 days
Adverse coverage in national broadsheet press and/or low
level national TV reporting
Extensive and multiple injuries
LCC liable for major damage to local environment
Major financial loss
5 Central Government intervention in running of LCC /
Directorate
Loss of critical citizen service for more than 7 days
Business failure of partner or loss of service delivery of over
7 days
17
Multiple injuries including loss of life
Extensive coverage in national press and broadsheet
editorial and/or national TV item
Significant local, national or international environment
damage
Enormous financial loss
Likelihood
Score Descriptors
5 Almost Certain. Expected to occur in most circumstances or
more than a 75% chance of occurrence.
4 Likely. Potential of occurring several times in 10 years or has
occurred recently. Between 50% and 75% chance of
occurrence.
3 Moderate. Could occur more than once in 10 years. History of
occurrence or near miss. Less than a 50% chance of
occurrence.
2 Unlikely. May occur over a 10 year period. Less than 10%
chance of occurrence.
1 Rare. Has not occurred. May occur in exceptional
circumstances. Less than 2% chance of occurrence.
Impact
1 2 3 4 5
5 1/5 2/5 3/5 4/5 5/5
4 1/4 2/4 3/4 4/4 5/4
Likelihood
18
Level of Concern Action Required
Urgent attention required at senior level to ensure
Very concerned
risk is reduced to an acceptable level. Action
planning should start without delay. Progress on
actions should be reported to ELT.
Minimum of robust contingency plan plus early
Concerned
warning indicators. Some control measures likely
to be necessary. Progress on actions should be
reported on at directorate senior management
team.
Acceptable with some mitigation and contingency
Uneasy
planning. Routine reviews should be carried out
to ensure there has been no change which will
make them more severe.
Acceptable, but keep under review. No further
Content
action required unless risk becomes more
severe.
19
Referensi:
20